针对南亚政府和军事组织的 BackConfig 恶意软件

Unit 42安全团队在过去4个月里观察到了Hangover组织(又名Neon, Viceroy Tiger, MONSOON)使用的BackConfig恶意软件的活动。该组织使用鱼叉式钓鱼攻击，目标包括南亚的政府和军事组织。

BackConfig定制木马具有灵活的插件架构，用于提供各种特性的组件，包括收集系统和键盘记录信息以及上传和执行额外payload的能力。

最初，感染是通过一个武器化的Microsoft Excel (XLS)文档发生的，该文档通过受感染的合法网站发布，url很可能是通过电子邮件共享的。这些文档使用Visual Basic for Applications (VBA)宏代码，如果受害者启用了这些宏代码，就会启动一个由多个组件组成的安装过程，从而导致插件加载程序payload被下载和执行。模块化的特性当然允许对单个组件进行更快的更改，而且对于攻击者来说可能更重要的是，能够阻止沙箱和动态分析系统的方式拆分恶意行为，尤其是在单独分析组件时。

我们基于WildFire的威胁预防平台可以检测到与此组织相关的活动，同时更新PAN-DB URL过滤解决方案中的“恶意软件”类别，用于已识别恶意的或受危害的域名。

……

更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1202/

消息来源：PaloAltoNetworks， 译者：吴烦恼。
本文由 HackerNews.cc 翻译整理，封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接